Se ha observado que dos grupos de piratas informáticos con vínculos con China utilizan como arma la falla de seguridad recientemente revelada en React Server Components (RSC) pocas horas después de que se hiciera pública.
La vulnerabilidad en cuestión es CVE-2025-55182 (Puntuación CVSS: 10,0), también conocido como reaccionar2shellque permite ejecución remota de código no autenticado. Se ha solucionado en las versiones 19.0.1, 19.1.2 y 19.2.1 de React.
Según un nuevo informe compartido por Amazon Web Services (AWS), se ha observado que dos actores de amenazas vinculados a China conocidos como Earth Lamia y Jackpot Panda intentan explotar la falla de seguridad de máxima gravedad.
«Nuestro análisis de los intentos de explotación en la infraestructura de honeypot de AWS MadPot ha identificado la actividad de explotación de direcciones IP e infraestructura históricamente vinculadas a actores de amenazas conocidos del nexo entre el estado de China», CJ Moses, CISO de Amazon Integrated Security, dicho en un informe compartido con The Hacker News.
Específicamente, el gigante tecnológico dijo que identificó infraestructura asociada con Lamia terrestreun grupo nexo con China al que se le atribuyeron ataques que explotaban una falla crítica de SAP NetWeaver (CVE-2025-31324) a principios de este año.
El equipo de hackers se ha dirigido a sectores de servicios financieros, logística, comercio minorista, empresas de TI, universidades y organizaciones gubernamentales en América Latina, Medio Oriente y el Sudeste Asiático.
Los esfuerzos de ataque también se originaron en la infraestructura relacionada con otro actor de amenaza cibernética del nexo con China conocido como Panda del premio mayorque ha señalado principalmente a entidades que participan o apoyan operaciones de juegos de azar en línea en el este y sudeste de Asia.
Se estima que Jackpot Panda, según CrowdStrike, está activo desde al menos 2020 y se ha dirigido a relaciones de terceros confiables en un intento de implementar implantes maliciosos y obtener acceso inicial. En particular, el actor de la amenaza fue conectado al compromiso de la cadena de suministro de una aplicación de chat conocida como Comm100 en septiembre de 2022. ESET rastrea la actividad como Operación Duende Hablador.
Desde entonces ha surgido que un contratista de piratería chino, I-Soon, pudo haber sido involucrado en el ataque a la cadena de suministrocitando superposiciones de infraestructura. Curiosamente, los ataques organizados por el grupo en 2023 se han centrado principalmente en víctimas de habla china, lo que indica una posible vigilancia interna.
«A partir de mayo de 2023, el adversario utilizó un instalador troyanizado para CloudChat, una aplicación de chat con sede en China popular entre las comunidades de juego ilegales de habla china en China continental», dijo CrowdStrike en su Informe de amenazas globales publicado el año pasado.
«El instalador troyanizado servido desde el sitio web de CloudChat contenía la primera etapa de un proceso de varios pasos que finalmente implementó XShade, un novedoso implante con código que se superpone con el exclusivo implante CplRAT de Jackpot Panda».
Amazon dijo que también detectó actores de amenazas que explotan 2025-55182 junto con otras fallas de día N, incluida una vulnerabilidad en NUUO Camera (CVE-2025-1338puntuación CVSS: 7,3), lo que sugiere intentos más amplios de escanear Internet en busca de sistemas sin parches.
La actividad observada implica intentos de ejecutar comandos de descubrimiento (por ejemplo, whoami), escribir archivos («/tmp/pwned.txt») y leer archivos que contienen información confidencial (por ejemplo, «/etc/passwd»).
«Esto demuestra un enfoque sistemático: los actores de amenazas monitorean las revelaciones de nuevas vulnerabilidades, integran rápidamente exploits públicos en su infraestructura de escaneo y realizan campañas amplias a través de múltiples vulnerabilidades y exposiciones comunes (CVE) simultáneamente para maximizar sus posibilidades de encontrar objetivos vulnerables», dijo Moses.
Cloudflare culpa a la interrupción del parche React2Shell
El desarrollo se produce cuando Cloudflare experimentó una interrupción breve pero generalizada que provocó que los sitios web y las plataformas en línea devolvieran un mensaje de «Error interno del servidor 500».
«Un cambio realizado en la forma en que el Firewall de aplicaciones web de Cloudflare analiza las solicitudes provocó que la red de Cloudflare no estuviera disponible durante varios minutos esta mañana», dijo el proveedor de infraestructura web. dicho en un comunicado el viernes. «Esto no fue un ataque; nuestro equipo implementó el cambio para ayudar a mitigar la vulnerabilidad en toda la industria revelada esta semana en React Server Components».
Fuente